Как да блокирате USB устройства за съхранение на домейн 2016/2012 с групови правила.

Как да блокирате USB устройства за съхранение на домейн 2016/2012 с групови правила.

Това ръководство съдържа инструкции стъпка по стъпка как да блокирате USB устройства за съхранение на целия домейн или на конкретни потребители на домейни с помощта на групови правила в AD домейн 2016 или 2012. По-конкретно, след като прочетете инструкциите в това ръководство, ще научите как за предотвратяване на достъп до USB устройство за съхранение (флаш памети, външни твърди дискове, смартфони, таблети и др.),който може да се свърже с всеки компютър в домейна или да откаже достъпа до USB памет само на определени потребители на домейна.

Днес много от нас използват USB устройство за съхранение за прехвърляне на данни. Въпреки това, за една организация способността на нейните служители да използват външни устройства за съхранение може да съдържа рискове за сигурността, като разпространение на зловреден софтуер или прихващане на чувствителни данни. За да избегнете тези рискове, можете да прочетете следните инструкции за блокиране на достъпа до USB устройства за съхранение на всички потребители и компютри във вашия домейн или само на определени потребители на домейна, като използвате групови правила.*

* Бележки:
един. В тази публикация, за да блокирате USB устройства чрез групови правила,използвахме домейн контролер на Active Directory 2016, за да създадем новата групова политика и работни станции Windows 10 Pro и Windows 7 Pro, за да я приложим.
две.Политиката „Блокиране на USB достъп“ няма да засегне администраторите на домейна или друго свързано USB устройство, като USB клавиатури, мишка, принтер и др.

3. След прилагане на груповата политика, потребителите няма да имат достъп до никакъв тип USB устройство за съхранение и ще получат едно от следните съобщения за грешка, когато се опитват да получат достъп до USB устройство за съхранение на своя компютър.

изображение

Как да използвате групови правила за предотвратяване на достъп до USB устройства за съхранение (сървър 2012/2012R2/2016)

Част 1. Как да блокирате достъпа до USB устройства за съхранение на целия домейн 2016.

За да деактивирате достъпа до всяко свързано USB устройство за съхранение до всеки компютър (потребител) в домейна:

един. В Server 2016 AD Domain Controller отворете Мениджър на сървъра и след това от Инструменти меню, отворете Управление на групови политики. *

* Освен това отидете до Контролен панел -> Административни пособия -> Управление на групови политики.

Управление на групови правила - Server 2016

две. Под домейни , изберете вашия домейн и след това Кликнете с десния бутон в Правила за домейн по подразбиране и изберете редактиране .

Редактиране на правилата за домейн по подразбиране

3. В „Редактор за управление на групови правила“ отидете до:

    Потребителска конфигурация > Политики > Административни шаблони > Система > Достъп до подвижно съхранение

Четири. В десния прозорец щракнете двукратно върху: Подвижни дискове: Забранете достъпа за четене. *

* Бележки:
един.Много уроци в този момент предлагат да Разрешаване ' Всички сменяеми класове за съхранение: Отказване на всякакъв достъп' политика, но по време на нашите тестове открихме, че тази политика не се прилага (работи) за смартфони или таблети.
две.Ако искате да блокирате достъпа за USB запис, изберете Подвижни дискове: Откажете достъп за запис.

Как да блокирате USB устройства за съхранение в домейн с групови правила

5. Проверете Разрешено и щракнете ДОБРЕ.

Как да блокирате USB чрез групова политика в Windows Server 2016

6. Затворете редактора на групови правила.
7. Рестартирайте сървъра и клиентските машини или стартирайте gpupdate /принудително команда, за да приложите новите настройки на груповата политика (без рестартиране) както към сървъра, така и към клиентите.

Част 2. Как да предотвратите достъпа до USB устройства за съхранение на конкретни потребители на домейн.

За да деактивирате достъпа до USB устройства за съхранение само на определени потребители чрез използване на групова политика, трябва да създадете група с потребители, които не искат да имат достъп до USB устройства за съхранение, и след това да приложите новата политика към тази група. Да направя това:

Стъпка 1. Създайте група с потребителите на USB с увреждания. *

* Забележка:Ако вече сте създали група с деактивирани USB потребители, продължете стъпка 2 .

един. Отвори Потребители и компютри на Active Directory.
две.
Щракнете с десния бутон върху ' Потребители ' обект в левия панел и изберете Нов > Група

Active Directory - Създаване на група

3. Въведете име за новата група (напр. „USB Disabled Users“) и щракнете Добре . *

* Забележка:Оставете опциите „Global“ и „Security“ отметнати.

изображение

Четири. Отворете новосъздадената група, изберете членове раздел и щракнете Добавете

изображение

5. Сега изберете в кой потребител(и) на домейна искате да блокирате USB устройствата за съхранение и след това щракнете ДОБРЕ.

изображение

6. Щракнете върху Добре за да затворите свойствата на групата.

изображение

Стъпка 2. Създайте нов обект на групова политика, за да деактивирате USB устройствата за съхранение.

един. Отвори Управление на групови политики.
две.
Под обекта „Домейни“ щракнете с десния бутон върху вашия домейн и изберете Създайте GPO в този домейн и го свържете тук.

изображение

3. Въведете име за новия GPO (например „USB Disabled“) и щракнете ДОБРЕ.

изображение

Четири. Щракнете с десния бутон върху нов GPO и щракнете Редактиране.

Деактивирайте USB достъпа за определени потребители чрез групови правила

5. В „Редактор за управление на групови правила“ отидете до:

    Потребителска конфигурация > Политики > Административни шаблони > Система > Достъп до подвижно съхранение

Четири. В десния прозорец щракнете двукратно върху: Подвижни дискове: Забранете достъпа за четене. *

* Забележка:
един.Много уроци в този момент предлагат да Разрешаване ' Всички сменяеми класове за съхранение: Отказване на всякакъв достъп' политика, но по време на нашите тестове открихме, че тази политика не се прилага (работи) за смартфони или таблети.
две.Ако искате да блокирате достъпа за USB запис, изберете Подвижни дискове: Откажете достъп за запис.

Блокирайте достъпа до USB памет за определени потребители

5. Проверете Разрешено и щракнете ДОБРЕ.

Подвижни дискове - Отказване на достъп

6. Затворете на Редактор за управление на групови правила прозорец.

7. Върнете се към „Управление на групови правила“, изберете „USB Disabled“ GPO и в раздела „Обхват“ щракнете върху Добавете бутон (под настройките „Филтриране на сигурността“).

Блокирайте USB за определени потребители в AD Server 2016

8. Въведете името на групата 'USB disabled users' (напр. 'USB Disabled Users' в тази публикация) и щракнете Добре .

изображение

9. Когато сте готови, изберете Делегация раздел.

изображение

10. В раздела „Делегиране“ изберете на Удостоверени потребители и щракнете Разширено.

изображение

единадесет . В опциите за сигурност, изберете на Удостоверени потребители и премахнете отметката на Прилагане на групова политика квадратче за отметка. Когато сте готови, щракнете ДОБРЕ.

изображение

6. Затворете редактора на групови правила.
7. Рестартирайте сървъра и клиентските машини или стартирайте ' gpupdate /принудително ' (като администратор), за да приложите новите настройки на груповата политика (без рестартиране) както към сървъра, така и към клиентите.

Това е!

Набираме персонал